概述

從2013年5月至今，AVL移動(dòng)安全團(tuán)隊(duì)持續(xù)監(jiān)測(cè)到了一類高活躍高危害的短信攔截類型木馬。短信攔截馬，顧名思義是一種可以攔截他人短信木馬，就是讓被攻擊者收不到短信，并將短信內(nèi)容截取到攻擊者手機(jī)上。

此類木馬目前最常見(jiàn)的是通過(guò)釣魚、誘騙、欺詐等方式誘導(dǎo)用戶裝上木馬，然后通過(guò)攔截轉(zhuǎn)發(fā)用戶短信內(nèi)容，以此獲取各種用戶重要的個(gè)人隱私信息，如用戶姓名、身份證號(hào)碼、銀行卡賬戶、支付密碼及各種登錄賬號(hào)和密碼等，造成這些信息的泄露，再利用此信息從而達(dá)到竊取用戶資金的目的，嚴(yán)重威脅用戶的財(cái)產(chǎn)安全。

另外，此前流行的”XX神器”也有短信攔截轉(zhuǎn)發(fā)的功能。

數(shù)據(jù)統(tǒng)計(jì)

短信攔截馬功能簡(jiǎn)單、開發(fā)成本低，但更新變化速度快，偽裝目標(biāo)不斷更換，涉及樣本量比較龐大。從最早13年5月出現(xiàn)到14年9月，共截獲該類木馬將近2萬(wàn)個(gè)。

活躍曲線

從13年5月起，AVL移動(dòng)安全中心每月都能監(jiān)控到該類木馬，從其活躍曲線可以看到其呈現(xiàn)不斷增長(zhǎng)的趨勢(shì)：

 

圖1 攔截馬樣本捕獲情況

行為分布

短信攔截馬其行為主要是攔截并轉(zhuǎn)發(fā)短信來(lái)竊取隱私，此外部分還帶有誘騙欺詐、遠(yuǎn)程控制、資費(fèi)消耗、惡意扣費(fèi)等。從下圖攔截馬主要行為分布可以發(fā)現(xiàn)誘騙欺詐、遠(yuǎn)程控制、資費(fèi)消耗都占有不小的比例： 

 

圖2 攔截馬主要行為分布

#p#

樣本包名Top 20

下圖為樣本包名Top 20，從中可以發(fā)現(xiàn)最多的是偽裝成Android系統(tǒng)應(yīng)用名，其次則是example、test等測(cè)試名稱： 

 

圖3 攔截馬偽裝包名Top 20

偽裝應(yīng)用Top 10

樣本偽裝應(yīng)用Top 10，不出意外的中國(guó)移動(dòng)最多，下圖中其實(shí)還有移動(dòng)客戶端、10086、移動(dòng)掌上營(yíng)業(yè)廳、掌上營(yíng)業(yè)廳、移動(dòng)營(yíng)業(yè)廳都屬于偽裝的移動(dòng)應(yīng)用，其次則是偽裝的淘寶”淘分享”： 

 

圖4 攔截馬偽裝應(yīng)用Top 10

對(duì)抗情況

攔截馬家族發(fā)展迅速，持續(xù)的演變過(guò)程中便不得不與安全軟件查殺對(duì)抗，除了常規(guī)惡意代碼手段，攔截馬家族更喜歡采用加殼這種簡(jiǎn)單有效的手段。頻繁更換修改加殼方式，高頻率持續(xù)更新以保證繞過(guò)安全軟件，攔截馬對(duì)抗頗有09年P(guān)C上的免殺趨勢(shì)。

下圖為攔截馬家族加殼樣本捕獲情況，從圖中可見(jiàn)從攔截馬最早出現(xiàn)的時(shí)候就已經(jīng)開始有使用加殼技術(shù)了，不過(guò)直到2014年6月才開始持續(xù)增長(zhǎng)，而現(xiàn)在正是高速爆發(fā)時(shí)期:

 

圖5 攔截馬加殼樣本捕獲情況

下圖為攔截馬加殼樣本與當(dāng)月樣本數(shù)的統(tǒng)計(jì)情況，攔截馬的捕獲數(shù)量依然在持續(xù)增長(zhǎng)，而加殼樣本比例亦在增加： 

 

圖6攔截馬加殼樣本統(tǒng)計(jì)

對(duì)攔截馬加殼樣本所采用的加殼方案做了一下統(tǒng)計(jì)，其中大部分都在使用apkprotect這一加固方案，而其他方案則少許多： 

 

圖7 攔截馬加殼類型統(tǒng)計(jì)

加固是一把雙刃劍，保護(hù)開發(fā)者APP的同時(shí)也成為木馬作者的一把”保護(hù)傘”，希望諸多加固公司能在加固應(yīng)用前多做惡意代碼審核工作。#p#

黑產(chǎn)揭露

攔截馬黑色產(chǎn)業(yè)鏈

攔截馬的爆發(fā)必然有其原因，根據(jù)AVL團(tuán)隊(duì)研究人員多方采證以及臥底取證，最終還原了其完整的黑色產(chǎn)業(yè)鏈： 

 

圖8 攔截馬攻擊模型

從偽基站發(fā)送偽造釣魚網(wǎng)站地址，再到用戶訪問(wèn)釣魚網(wǎng)站，欺騙用戶輸入個(gè)人信息，網(wǎng)站掛馬誘導(dǎo)用戶下載安裝短信攔截木馬，最后攻擊者在線轉(zhuǎn)賬時(shí)通過(guò)攔截馬轉(zhuǎn)發(fā)網(wǎng)銀驗(yàn)證碼完成轉(zhuǎn)賬，這就是一個(gè)簡(jiǎn)單的攔截馬工具模型。 

 

圖9 攔截馬黑色產(chǎn)業(yè)鏈

攔截馬黑色產(chǎn)業(yè)鏈分工明確結(jié)構(gòu)簡(jiǎn)單，主要由以下四部分組成：

1.開發(fā)售賣：這部分主要是攔截馬木馬的開發(fā)以及免殺、釣魚網(wǎng)站的開發(fā)出售、偽基站的出售;

2.木馬分發(fā)：廣撒網(wǎng)才能多收魚，攔截馬分發(fā)手段主要有釣魚短信、網(wǎng)站掛馬、二維碼傳播;

3.竊取售賣：攔截馬植入成功即可獲取攔截短信，但黑產(chǎn)關(guān)注的信息主要在于各大銀行、支付寶、游戲點(diǎn)卡、運(yùn)營(yíng)商話費(fèi)充值卡、Q幣等等，這些信息都是可以直接交易;

4.洗錢：洗錢也是技術(shù)活，生意好的日入上萬(wàn)不是夢(mèng)，雖然洗錢是獲利最多的，但同時(shí)也是風(fēng)險(xiǎn)也最大。

文章最后附有研究人員潛伏攔截馬交易群所收集到的部分相關(guān)聊天證據(jù)記錄截圖。

相關(guān)產(chǎn)業(yè)

百度搜索攔截馬就有118萬(wàn)個(gè)結(jié)果，其中有產(chǎn)業(yè)鏈揭露、樣本破解分析，但更多則是交易信息： 

 

圖10 百度”短信攔截馬”百萬(wàn)以上詞條

#p#

木馬開發(fā)

下圖為豬八戒網(wǎng)的開發(fā)需求，可見(jiàn)攔截馬開發(fā)及免殺依然持續(xù)中的;不過(guò)攔截馬功能比較簡(jiǎn)單，開發(fā)成本較低，即便免殺也通常使用已有加固方案，所以圖中給的報(bào)酬都比較低： 

 

圖11 豬八戒網(wǎng)攔截馬開發(fā)需求

偽基站

偽基站是近幾年開始流行的，黑產(chǎn)中通常用于發(fā)送偽造短信誘導(dǎo)用戶進(jìn)入釣魚網(wǎng)站，如下圖即是一個(gè)偽造的工行短信，值得注意的是其使用了gov.cn域名下的子頁(yè)，相對(duì)加強(qiáng)了權(quán)威性而降低了用戶警惕： 

 

圖12 偽基站釣魚網(wǎng)站短信

另外偽基站還有如下詐騙的使用方式，通過(guò)偽造短信來(lái)恐嚇用戶來(lái)進(jìn)行詐騙行為，不久前”小龍女”李若彤經(jīng)紀(jì)人造電信詐騙百萬(wàn)以上，手法就與此類似： 

 

圖13 偽基站詐騙短信

#p#

釣魚網(wǎng)站

攔截馬樣本中最愛(ài)偽裝中國(guó)移動(dòng)，所以同時(shí)也發(fā)現(xiàn)了大量的山寨中國(guó)移動(dòng)釣魚網(wǎng)站，此類網(wǎng)站通常以積分兌換現(xiàn)金來(lái)誘騙用戶輸入相關(guān)銀行帳號(hào)信息，同時(shí)誘導(dǎo)用戶下載安裝短信攔截木馬： 

 

圖14 山寨中國(guó)移動(dòng)釣魚網(wǎng)站

下圖即是一個(gè)山寨中國(guó)電信釣魚網(wǎng)站，采取同樣的手法獲取用戶個(gè)人信息并誘導(dǎo)安裝短信攔截木馬，該木馬還會(huì)欺騙用戶不要卸載： 

 

圖15 山寨中國(guó)電信釣魚網(wǎng)站 

 

圖16 木馬欺騙用戶不要卸載

#p#

洗錢

利益所趨，正是攔截馬火爆的主要原因。下圖為某黑產(chǎn)人員曝光的攔截馬洗錢記錄，可謂日入上萬(wàn)不是夢(mèng)： 

 

圖17 攔截馬洗錢記錄

總結(jié)

隨著時(shí)間的推移，移動(dòng)通信技術(shù)的發(fā)展，智能手機(jī)的出現(xiàn)，移動(dòng)支付也漸漸占據(jù)主流。但由于手機(jī)支付安全問(wèn)題日益突出，加上Android應(yīng)用開發(fā)的簡(jiǎn)單，以及偽基站的出現(xiàn)，加固方案的發(fā)展，再結(jié)合流行已久的釣魚網(wǎng)站，短信攔截馬作為一個(gè)功能簡(jiǎn)單開發(fā)成本低，但獲利頗高的黑色行業(yè)，不可避免的在短時(shí)間內(nèi)便形成了其完整的產(chǎn)業(yè)鏈。

短信攔截馬家族此刻正處在高速爆發(fā)時(shí)期，無(wú)論數(shù)量還是質(zhì)量都有著明顯的提高，尤其大量加殼對(duì)抗樣本的出現(xiàn)，給安全公司分析人員造成了極大的困擾。在此希望諸多加固公司在對(duì)應(yīng)用加固的時(shí)候，能多做一些惡意代碼審核工作，避免與安全公司陷入加殼脫殼無(wú)窮盡的內(nèi)耗中，而使惡意代碼漁翁得利。

攔截馬家族變化速度快，對(duì)抗強(qiáng)度高，傳播渠道廣，欺騙性強(qiáng)，極易造成用戶重大經(jīng)濟(jì)損失以及隱私泄露。隨著攔截馬家族的爆發(fā)，同時(shí)更會(huì)不斷產(chǎn)生著大量的偽基站詐騙短信以及釣魚網(wǎng)站，希望用戶能保持良好的安全上網(wǎng)習(xí)慣，以及對(duì)釣魚欺詐的警覺(jué)，可以極大避免此類威脅。同時(shí)用戶可以下載并使用AVL Pro對(duì)該類木馬進(jìn)行檢測(cè)和查殺。

參考

【1】警惕手機(jī)釣魚網(wǎng)站植入木馬，http://blog.avlyun.com/713.html

【2】警惕手機(jī)釣魚網(wǎng)站植入木馬—電信篇，http://blog.avlyun.com/1283.html

【3】探秘短信馬產(chǎn)業(yè)鏈-從逆向到爆菊，http://drops.wooyun.org/tips/789

【4】11月最新灰色項(xiàng)目，短信攔截馬，支付寶銀行卡有多少洗多少!

http://www.80lou.com/thread-425719-1-1.html

附-攔截馬交易群部分聊天記錄

從聊天記錄可以大致還原攔截馬完整的黑產(chǎn)鏈，從木馬開發(fā)、免殺、偽基站、釣魚網(wǎng)站、攔截料交易、洗錢，無(wú)一不有：